Die neuen BAIT – Wolf im Schafspelz

Die neuen BAIT kommen bei oberflächlicher Betrachtung zunächst „wohlbekannt“ daher, und auf den ersten Blick fallen kaum spektakuläre Erweiterungen oder Änderungen ins Auge. Dieses Bild ändert sich schlagartig und radikal, wenn man Texteinschübe und oft eher subtile Präzisierungen mit Sachkunde analysiert und insbesondere mit Erfahrungen aus den bereits zahlreich durchgeführten MaRisk/BAIT Sonderprüfungen im Bankenbereich abgleicht. Hier findet man eine sehr eindeutige Korrelation von bekannten Prüfungsfeststellungen in Instituten mit den Neuerungen in den BAIT. Viele der Verschärfungen und Erweiterungen gehen also auf konkrete Beobachtungen der Prüfer in den Instituten zurück und zeigen so eine eindeutige Erwartungshaltung an vorhandene Lösungen in den Instituten auf.

Da Sonderprüfungen der bisherigen BAIT in den Instituten oftmals zahlreiche gravierende Feststellungen ergeben haben, verschärft sich jetzt die Erwartungshaltung nochmals deutlich! Da bei einer größeren Anzahl an schwerwiegenden Feststellungen Risikokapitalaufschläge, Einschränkungen der Geschäftstätigkeit bis hin zur Verwarnung oder Abberufung von Geschäftsleitern drohen, herrscht hier für jedes Institut sofortiger Handlungsbedarf!

Hier einige ausgewählte Beispiele:

  • In der IT-Strategie sind ab sofort „Abhängigkeiten zu Dritten“ besonders zu analysieren und mit Maßnahmen zu unterlegen. Dies betrifft sämtliche Auslagerungen!
  • Alle Maßnahmen der Informationssicherheit müssen ab sofort einem „gängigen Standard“ folgen. Dies ist i.d.R. die ISO Normenreihe 2700(X). Dieser fachliche/methodische Anspruch ist dann auch so im Institut umzusetzen!
  • Der im Hinblick auf die MaRisk Schutzziele regelmäßig zu analysierende Informationsverbund muss ab sofort um die Unterstützungsprozesse des Instituts sowie um IT-Prozesse und sämtliche Schnittstellen zu Dritten erweitert werden.
  • Die definierten Maßnahmen des Soll-Katalogs der Informationssicherheit sind ab sofort auf „Angemessenheit“ hin zu testen.
  • Das Institut muss sich ab sofort regelmäßig mit seiner „Bedrohungslage“ (z.B. ENISA) auseinandersetzen und diese zur methodischen Drehscheibe von risikosenkenden Maßnahmen machen.
  • Die Informationssicherheitsleitlinie ist um konkrete neue Elemente anzureichern. Hierbei wird ein starker Fokus auf physische Sicherheit gelegt.
  • Die neuen Anforderungen an die Handhabung von Informationssicherheitsvorfällen bedingen die Einführung eines umfassenden, automatisierten SIEM-Systems sowie die organisatorische Etablierung eines SOC/CERT Teams.
  • Die Anforderungen an das Identitäts- und Rechtemanagement wurden stark erweitert und konkretisiert. Diese lassen sich nur noch mit einem vollautomatisierten Verfahren aufsichtlich konform erfüllen!
  • Etc.

BAIT Check – Für Geschäftsleiter der erste Schritt auf sicheren Boden!

Mit der Durchführung unseres BAIT-Checks kann das Institut gegenüber Wirtschaftsprüfern und Aufsicht nachweisen, dass eine qualifizierte und systematische Auseinandersetzung mit den neuen Anforderungen stattgefunden hat und ermittelte Gaps zwischen Soll-Zustand und aktueller Ist-Situation abgeleitet wurden. Die Überführung dieser Gaps in eine strukturierte Maßnahmenplanung dient als Nachweis, dass die Geschäftsleitung ihrer Organisationsverantwortung nachkommt und nicht fahrlässig handelt. Im Übrigen gilt hier auch immer die Gesamthaftung der Geschäftsleitung gem. §25 KWG, die BAIT sind also keine „reine IT-Angelegenheit“!

Was macht unseren BAIT Check so einzigartig ?

Umsetzungshinweise in Hülle und Fülle und dabei schlanke Form.

Unser BAIT Check richtet sich primär an Institute kleinerer und mittlerer Größe, die aus Budget-, Zeit- oder Ressourcengründen kein umfassendes Vor-Ort Analyseprojekt durch Experten durchführen können oder möchten.

Diese Institute waren bislang auf sich allein gestellt, wenn es um die sachgerechte Analyse der  oft komplexen Anforderungen ging und taten sich in der Vergangenheit oft schwer damit. Minderwertige, im Internet kursierende Checklisten sind in der konkreten Anwendung wenig hilfreich und stellen auch keinen aufsichtlich akzeptierten Referenzrahmen für eine derartige Analyse dar.

Eine zielgerichtete Analyse und Einordnung der neuen Anforderungen ist ohne fundierte Kenntnisse der eingeflossenen Erkenntnisse aus der aufsichtlichen Prüfungspraxis nur sehr eingeschränkt möglich. Ohne fundierte Expertenbegleitung geht es kaum!

Wir haben mit unserem BAIT Check hierfür einen Weg gefunden, die oftmals abstrakt formulierten Anforderungen in eindeutige Prüffragen zu kleiden und diese mit viel Expertenwissen über konkrete aufsichtlich gewünschte Lösungsausprägungen derart anzureichern, dass die Fragen von Mitarbeitern in den Instituten auch sinnvoll eigenständig beantwortet werden können.  Unser eingeflossener Experteninput konkretisiert die abstrakten Anforderungen und gibt gleichzeitig die Struktur und Ausprägung von gewünschten Lösungen vor. Dies versetzt ein Institut in die Lage, auf Basis eines durch den BAIT Check gewonnenen Verständnisses der aufsichtlich angestrebten Ausgestaltung der Lösungen, eigenständig an diesen in zielführender Weise zu arbeiten und die identifizierten Lücken zu schließen.

Der BAIT Check ist somit eine notwendige und sinnvolle „Hilfe zur Selbsthilfe“.

 

Welche Leistungen werden abgedeckt? 

Ablauf des
Quick-Checks
  1. Kontaktaufnahme zu ORO
  2. Auswahl der Leistungen aus dem Modulkatalog
  3. Erhalt der Fragebögen zum Ausfüllen
  4. Selbsteinschätzung und Dateneingabe
  5. Datenauswertung von ORO
  6. Ergebnispräsentation

Bonus: Tracking-Tool
für nachfolgende Schritte

Unser Angebot umfasst alle 12 Kapitel der BAIT. Aus diesen können Sie nach Ihrem individuellen Bedarf, abhängig von den Schwerpunkten Ihres Institutes, auswählen. Alle Leistungen können auch einzeln gebucht werden.

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Operative Informationssicherheit
  • Identitäts- und Rechtemanagement
  • IT-Projekte und Anwendungsentwicklung
  • IT-Betrieb
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
  • IT-Notfallmanagement
  • Kundenbeziehungen mit Zahlungsdienstnutzern
  • Kritische Infrastrukturen

Prüfer-Input und Best Practice auf Basis von Sonderprüfungen der Aufsicht überführt in einen Service zur Selbsteinschätzung!

Wir haben uns besondere Mühe gegeben, die Anforderungen der neuen BAIT in sehr konkrete und beobachtbare Kriterien zu überführen. Dabei haben wir besonderes Augenmerk auf konkrete Evidenzen in Form von z.B. Dokumenten gelegt. Mit dieser Vorarbeit ist es für Ihre Experten im Haus möglich, eine eigene Bewertung des Vorhandenseins und der inhaltlichen Anmutung vorzunehmen. Wir arbeiten somit asynchron als „Team“ mit Ihren Experten. Für Rückfragen und möglichen Ünterstützungsbedarf bieten wir unterschiedliche Paketlösungen an.

Unser Produkt ist keine „einfache“ Checkliste, wie sie typischerweise im Internet gefunden werden kann. Unser Katalog umfasst mehrere hundert individuell formulierte Expertenfragen mit zusätzlichen Erläuterungen und Anforderungshinweisen. Dies entspricht dem inhaltlichen und quantitativen Niveau eines prüfungsorientierten Beratungsprojektes.

Unser Angebot umfasst passend zum jeweiligen Modul einen Fragenkatalog, der das Fachwissen unserer Experten in verständlichen Fragen zur BAIT mit entsprechenden Kommentierungen erweitert. Die Fragen sind mit dem Ziel formuliert, Ihnen eine präzise Selbsteinschätzung anzubieten. Unsere Expertise ermöglicht uns genaue Aussagen über den aktuellen Status Ihrer Organisation zu treffen.

Auswertung Ihrer Daten

Nach Erhalt des von Ihnen ausgefüllten Fragenkatalogs erfolgt die Auswertung Ihrer Daten. Durch die individuelle Auswertung erhalten Sie eine übersichtliche Analyse zu dem Status-Quo Ihrer Organisation und einen Vergleich zu den Anforderungen der BAIT. Die Analyse beinhaltet geeignete Sofortmaßnahmen und Kommentare zu den von Ihnen ausgewählten Modulen. Somit ergeben sich eindeutige Handlungsempfehlungen zu einem oder mehreren Kapiteln.

Datenpräsentation

Abschließend stellen wir Ihnen eine umfangreiche adressaten- und zweckgerechte Dokumentation Ihrer Ergebnisse zur Verfügung. Die Dokumentation unterteilt sich in folgende Bausteine:

  • Managementpräsentation: Übersicht der relevantesten Ergebnisse und eine Empfehlung von sinnvollen Maßnahmen für identifizierte Schwachstellen. Dies soll als prüfungskonformer Beleg dafür dienen, dass sich die Geschäftsleitung im Sinne ihrer Organisationsverantwortung hinreichend mit den aufsichtlichen Anforderungen auseinander setzt.
  • Detailreporting: individueller und ausfühlicher Report auf Einzelfragenbasis zur operativen Vorbereitung von Umsetzungsktivitäten.
  • Tracking-Tool: Zur Unterstützung der Organisation und Nachverfolgung von notwendigen Aktivitäten dient unser praxisbewährtes Tool. Dieser Schritt ist besonders wichtig, um aufsichtlich einen strukturiertem Übergang von Assessment zu „Aktion“ nachzuweisen.

Mit Vorliegen der Ergebnisse des Assesments, in Verbindung mit Kenntnisnahme der Geschäftsleitung und nachfolgenden Maßnahmenplänen verfügen Sie über eine ausreichende Nachweisdokumentation gegenüber Abschlussprüfern und Sonderprüfern hinsichtlich verantwortungsvoller Auseinandersetzung mit dieser hochgradig relevanten Schlüsselregularie.

Mit unserer Unterstützung finden Sie sich in einer komfortablen Ausgangssituation wieder, in der Sie anhand unserer Dienstleistung eine Orientierung und Wissen darüber besitzen, in welche Richtung die nachfolgenden Schritte gehen sollen.

Leistungspakete

Bestseller

Basis-Paket

1.999€ zzgl. Mwst.

Alle 12 Kapitel der BAIT inklusive

  • Fragebögen basierend auf Fachexpertise und Praxisbezug
  • Umfassende Analyse zu den Ergebnissen
  • Sofortmaßnahmen und Kommentierungen zu den Modulen
  • Detaillierter Report und Berichterstattung
  • Tracking-Tool für nachfolgende Maßnahmen

Standard-Paket

3.499€ zzgl. Mwst.

Alle 12 Kapitel der BAIT inklusive

inklusive Beratung in der Datenerhebung (8 Stunden)

  • Fragebögen basierend auf Fachexpertise und Praxisbezug
  • Betreuung und Beratung während der Erhebung auf Anforderung
  • Umfassende Analyse zu den Ergebnissen
  • Sofortmaßnahmen und Kommentierungen zu den Modulen
  • Detaillierter Report und Berichterstattung
  • Tracking-Tool für nachfolgende Maßnahmen

Pro-Paket

4.999€ zzgl. Mwst.

Alle 12 Kapitel der BAIT inklusive

inklusive Beratung in der Datenerhebung und bei den Maßnahmen (16 Stunden)

  • Fragebögen basierend auf Fachexpertise und Praxisbezug
  • Betreuung und Beratung während der Erhebung auf Anforderung
  • Umfassende Analyse zu den Ergebnissen
  • Sofortmaßnahmen und Kommentierungen zu den Modulen
  • Detaillierter Report und Berichterstattung
  • Tracking-Tool für nachfolgende Maßnahmen

Modul-Paket

499€ pro Kapitel zzgl. Mwst.

Für jedes Kapitel gelten folgende Leistungen:

  • Fragebogen basierend auf Fachexpertise und Praxisbezug
  • Umfassende Analyse zum Ergebnis
  • Sofortmaßnahmen und Kommentierungen zum Modul
  • Detaillierter Report und Berichterstattung
  • Tracking-Tool für nachfolgende Maßnahmen

Unsere Empfehlung für kleinere Institute

Unsere Empfehlung für mittlere bis größere Institute

Unser BAIT Check stellt ein unabhängiges Service Produkt dar. Die von Ihnen zurückgemeldeten Informationen dienen ausschließlich  Auswertungszwecken und fließen nicht in weitere Werbezwecke ein. Im Klartext heißt dies, wenn Sie nach erfolgter Rückmeldung der Auswertungsergebnisse und der damit verbundenen Handlungsempfehlungen keinen weiteren Gesprächsbedarf sehen, werden wir Sie nicht weiter aktiv kontaktieren.

Nehmen Sie Kontakt zu unseren Experten auf!